web api安全问题

最新推荐文章于 2024-05-23 16:14:06 发布
最新推荐文章于 2024-05-23 16:14:06 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen_jia_hao/article/details/81156574
版权

思想如下:

这里写api主要考虑三个问题:调用者身份是否合法、数据是否被篡改过、重放攻击。

1、调用者身份是否合法?

写接口时,我们可以提供appid和appsecret用于校验调用方是否为合法的用户。

appid:用户唯一标识。(作为请求参数的一部分

appsecret:用户密钥。(注:这个不放到请求参数里

2、数据是否被篡改过?

这里通过签名的方式来实现。思路就是把 appid+appsecret+timestamp+params 通过信息摘要算法(md5、sha-1、sha-256之类)进行加密,然后会得到加密串,这个加密串就是我们所说的 “签名”(作为请求参数的一部分)。这个签名也会传到后台。只要原字符串发生了改变,那么它签名结果会改变。因此通过签名就可以判断保数据是否被改动过。

params :请求参数。

3、重放攻击?

这个主要通过timestamp(时间戳)来实现。调用方每次请求的时候,会带上一个timestamp(作为请求参数的一部分),到api提供方接受这个参数,然后再和当前timestamp进行比对,如果之差超过一定时间,就作为请求失效处理。具体时间看具体业务需求。

基本思路大概就是这样。如果appsecret没有被泄露和签名没有被暴力破解的话,安全性还是有很大的保障。如果安全性要求更高的话,可以对参数做加密,到后台再解密。

chen_jia_hao
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈web api安全
zsibiao的博客
09-20 388
最近,项目迭代过程中,发现了公司的短信服务被用户恶意攻击的案例。我司的业务在国外,短信服务商每条短信的费用略有点小贵,抛砖引玉聊一聊API安全方面的感想。 很多网站都存在类似的问题,接口请求会被竞争对手、黑客等有目的的去攻击。作为系统的后端设计者,其实是需要考虑一些基础的防御措施: 令牌验证,避免非系统用户的随意攻击,即使遇到攻击也能追查到用户的身份 签名校验,前后端交互约定好签名规则(日期参数、参数顺序、加密传输等),提高恶意攻击的技术成本(时间戳有过期设定,比如10秒) 防直接调用,鉴定是否是浏览器行
WebAPI入门指南-闲话安全
02-26
WebAPI入门指南有些朋友回复问了些安全方面的问题安全方面可以写的东西实在太多了,这里尽量围绕着WebAPI安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及WebAPI提供的安全机制。...
WebApi 安全认证
10-02
WebApi 安全认证 web-api-with-authentication
Web API 入门指南 - 闲话安全
weixin_30537451的博客
09-21 112
Web API入门指南有些朋友回复问了些安全方面的问题安全方面可以写的东西实在太多了,这里尽量围绕着Web API安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及Web API提供的安全机制。 目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Broken Authentication...
当前API面临的安全风险,有什么安全措施
最新发布
dexunyun的博客
05-23 1077
影子API是目前API安全中最为突出的问题,由于API的使用率激增,企业往往无法全部跟踪管理,因此,一些API无法及时进行维护更新, 这些未经授权或已废弃的API可能存在于企业的系统中,由于管理不善或疏忽,从而成为了被恶意黑客公开利用的漏洞。API安全不仅仅是修复单个漏洞的问题,需要我们从更广泛的角度解决API网络安全缺口,在设计和实现API时,需要充分考虑其安全性,并采取相应的安全措施来防范潜在的安全威胁。与影子API类似,僵尸API也是一个巨大的安全风险,其通常指的是旧的、很少使用的API版本。
Web Api 安全
左直拳的马桶_日用桶
05-24 2092
过去,我写过一两个Web Api,没有任何身份校验和安全措施,随便在浏览器中输入地址就能访问,谁都可以。无异于裸奔。有关Web Api安全措施,我目前了解到的有以下一些:一、使用Basic Authentication验证用户 客户端在发送Http请求的时候在Header部分提供一个基于Base64编码的用户名和密码,形式为“username:password”,消息接收者(服务器)进行验证,通
WEB API安全问题
weixin_33859665的博客
05-10 203
2019独角兽企业重金招聘Python工程师标准>>> ...
gsoap http webapi
08-18
《gSOAP HTTP WebAPI:构建高效网络通信》 在当今的互联网时代,Web API已经成为服务端与客户端交互的重要桥梁。gSOAP(Generic SOAP)是一个强大的开源工具,它为C/C++程序员提供了创建和使用Web服务的框架,尤其...
C# WEB API 安全认证源码 REST
11-16
在C# Web API开发中,安全认证是至关重要的一步,它确保了只有授权的用户或应用程序可以访问受保护的资源。本源码提供了一个完整的安全认证解决方案,适用于RESTful服务。下面将详细介绍其中涉及的关键知识点。 1. ...
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html...开发工具是vs2015
WebApi安全性 使用TOKEN+签名验证
xv7777666的博客
05-08 1962
(4) webapi接收到相应的请求,取出请求头中的timespan,nonc,staffid,signature 数据,根据timespan判断此次请求是否失效,根据staffid取出相应token判断token是否失效,根据请求类型取出对应的请求参数,然后服务器端按照同样的规则重新计算请求签名,判断和请求头中的signature数据是否相同,如果相同的话则是合法请求,正常返回数据,如果不相同的话,该请求可能被恶意篡改,禁止访问相应的数据,返回相应的错误信息。合法的请求则会返回对应的商品信息。
web安全措施.你写的WEB API接口如何预防黑客攻击_webservice接口实例
12-25
web安全措施.你写的WEB API接口如何预防黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何防止黑客攻击你的HTTP API接口呢
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
WebAPi安全性 使用Token+签名认证
CC_MyDream的博客
04-09 1605
API接口的安全性 使用Token+签名认证的详细描述
WebAPI--安全性,身份验证和授权
耀的专栏
07-10 1885
WebAPI--安全性,身份验证和授权 在本系列文章中,介绍一些保护未经授权用户的Web API的选项。本系列将涵盖身份验证和授权。 1、身份验证是了解用户的身份。例如,Alice使用其用户名和密码登录,服务器使用密码对Alice进行身份验证。 2、授权决定是否允许用户执行操作。例如,Alice有权获取资源但不能创建资源。 本系列的第一篇文章概述了ASP.NET Web API中的身份验证和授权。其他主题描述了Web API的常见身份验证方案 WebAPI中的身份验证和授权 认证:WebA.
Dotnet Core Public API安全实践
dotNET跨平台
08-13 287
公开API安全,其实更重要。 一、API安全作为一个Dotnet Core的老司机,写API时,能兼顾到API安全,这是一种优雅。 通常,我们会用认证来保证API安全,无敌的Au...
WebApi安全性及其解决方案
asdfgh0077的博客
11-14 239
WebApi安全性及其解决方案

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值